我在一家使用 Fortigate 60 路由器的公司工作,我對此不太熟悉。一切都工作得很好,直到一周前康卡斯特進來並更換了我們的數據機。
看起來這個過程很順利——我們的連線恢復了,我們的靜態 IP 保持不變。
但是,我們的連接埠轉送都不起作用。
讓我困惑的是康卡斯特調製解調器顯然有兩個 IP 位址。 Fortigate 路由器中的 WAN2 介面設定為 10.1.10.10。但是,我們所有的連接埠轉送設定都設定為外部 IP 位址 10.1.10.50。
現在這個設定過去運作得很好,所以康卡斯特調變解調器的某些東西一定已經改變了。我怎樣才能知道什麼?
我嘗試將電腦設定為本機 IP 10.1.10.15,這樣我就可以開啟調變解調器的 Web 介面,但當我這樣做時,我甚至無法 ping 通 10.1.10.10。
有任何想法嗎?謝謝!
答案1
在 60B 上設定連接埠轉送是一個分成幾個步驟的過程。首先,您需要為介面(WAN2)和要轉送的IP(我假設為10.1.10.10)建立虛擬IP。然後,您必須新增一條防火牆規則,允許從虛擬 IP 到內部介面的流量。您能確認您已經完成這兩項工作了嗎?
另外,您提到您的靜態 IP(與 Comcast)保持不變。如果這是調變解調器的 IP,我希望它是外部 IP,也就是不在 10.xx 子網路中。然而,您的 Fortigate 的 WAN2 介面有一個 10.xx 位址。這表示您已經有了雙 NAT 設定。
如果是這種情況,您可以透過以下兩種方法之一進行修復:
- 在數據機上設定連接埠轉送/NAT(即實際上使用雙 NAT - 不好)
- 將數據機變更為「橋接模式」並讓 Fortigate 取得外部 IP 作為其 WAN2 IP(更好)。
請注意,如果您的 Comcast 連線是 ADSL w PPP,則使用 2,您將需要設定 Fortigate 來執行 PPPoE 驗證。
雙 NAT 還可以解釋為什麼更改路由器會破壞一些東西 - 舊路由器配置了連接埠轉發/NAT,但新路由器沒有。
編輯:
聽起來我對雙 NAT 場景的猜測確實是正確的。連接到 WAN1 的 DSL 數據機正在取得外部 IP 位址,並透過 DHCP 向 Fortigate 的 WAN1 介面指派 10.1.10.xx 位址。如果舊數據機確實沒有連接埠轉發,那麼它可能處於橋接模式。
如果您無法透過內部網路存取新新增的數據機,我建議您執行以下步驟:
- 使用乙太網路線直接連接到數據機,例如您的筆記型電腦
- 從您的筆記型電腦存取數據機的設定 Web 介面。如果無法連接,請將調製解調器重設為出廠預設設置,並將網頁瀏覽器指向其出廠設定的 IP。這保證會讓您進入配置頁面,但會擦除現有設定。
- 在介面中,將數據機的 IP 位址設定為內部網路 IP 範圍內的位址。
- 在新 IP 上存取調製解調器,配置所有 ADSL 相關設置(不是身份驗證,只是較低層設置,如封裝、VPI/VCI 等。如果沒有,請從 Comcast 獲取這些設置。
- 將數據機設定為“橋接”模式。這是重要的一步。
- 如果您的 ADSL 連線使用 PPPoE 驗證,請造訪 Fortigate 管理頁面,然後在網路 -> 介面 -> WAN1 下,選擇 PPPoE 並輸入您的 ADSL 使用者名稱和密碼。
如果這一切正常,您將看到 fortigate 上的 WAN1 取得外部 IP 位址。